Data di pubblicazione : 04 Mar 2025

Segnalazione attacco informatico: cosa fare per DORA e NIS 2

Categoria Argomento: DORA - NIS 2

Se la tua azienda è soggetta a DORA o NIS 2 e subisce un attacco informatico che compromette le operazioni aziendali, è obbligatorio segnalare l’incidente alle autorità competenti entro tempi specifici.

Le procedure di segnalazione variano leggermente tra DORA (settore finanziario e fornitori ICT) e NIS 2 (settori critici ed essenziali), quindi vediamo passo dopo passo cosa deve fare un’azienda in entrambi i casi.

1. Prima cosa da fare: attivare il piano di incident response

Indipendentemente dalla normativa, il primo passo è gestire l’incidente internamente per ridurre il danno.

Azioni immediate:

  • Isolare i sistemi compromessi (se possibile) per contenere il danno.
  • Attivare il Piano di Incident Response dell’azienda.
  • Coinvolgere il team IT o il fornitore di sicurezza per analizzare la portata dell’attacco.
  • Se necessario, allertare un fornitore esterno di risposta agli incidenti (SOC, CERT, o esperti di cybersecurity).
  • Non spegnere i sistemi senza prima raccogliere prove forensi.

Valutazione del danno:

  • Il servizio è totalmente bloccato?
  • Sono stati rubati dati sensibili (clienti, dipendenti, operazioni finanziarie)?
  • Il danno ha impatti significativi sulla continuità operativa?

Se la risposta è sì, l’incidente è da segnalare a DORA o NIS 2.

2. Segnalazione di un attacco per aziende soggette a DORA

Se la tua azienda è soggetta a DORA (settore finanziario o fornitore ICT critico), devi rispettare procedure stringenti di segnalazione.

Tempi di segnalazione per DORA

  • Prima segnalazione: Entro 4 ore dall’identificazione dell’incidente critico, devi avvisare l’Autorità di Vigilanza Finanziaria del tuo Paese.
  • Rapporto dettagliato: Entro 24 ore, devi fornire una prima analisi dell’attacco, indicando il tipo di minaccia, l’impatto e le contromisure adottate.
  • Report finale: Entro 72 ore, devi consegnare un rapporto approfondito con:
  • Descrizione dell’attacco (tipologia, vettore d’attacco, sistemi colpiti).
  • Azioni correttive messe in atto.
  • Impatti finanziari e operativi.

A chi segnalare l’incidente?

  • Se sei un istituto finanziario, devi segnalare alla tua Autorità Nazionale di Vigilanza Finanziaria (es. Banca d’Italia, CONSOB per l’Italia).
  • Se sei un fornitore ICT per il settore finanziario, devi segnalare sia all’Autorità Finanziaria del tuo cliente sia all’Autorità Europea per la Cybersecurity (ENISA).

Cosa fare dopo la segnalazione?

  1. Mantenere il dialogo con le autorità e fornire aggiornamenti regolari.
  2. Rafforzare le misure di sicurezza e avviare un’indagine interna.
  3. Informare i clienti e gli stakeholder se l’attacco ha avuto un impatto sui loro dati o operazioni.

3. Segnalazione di un attacco per aziende soggette a NIS 2

Se la tua azienda è soggetta a NIS 2 (settori critici come energia, trasporti, sanità, telecomunicazioni), la segnalazione segue un processo simile ma con alcune differenze.

Tempi di Segnalazione per NIS 2

  • Notifica preliminare: Entro 24 ore dall’incidente, devi inviare una prima comunicazione all’Autorità Nazionale per la Cybersecurity (es. CSIRT Italia).
  • Aggiornamento intermedio: Entro 72 ore, devi fornire un’analisi dettagliata con le azioni di mitigazione.
  • Rapporto finale: Entro 1 mese, devi trasmettere un rapporto conclusivo con:
  • Dati tecnici sull’attacco.
  • Strategie di recupero adottate.
  • Lezioni apprese e miglioramenti implementati.

A chi segnalare l’incidente?

  • Devi segnalare l’incidente al Computer Security Incident Response Team (CSIRT) nazionale del tuo Paese. In Italia, l’organismo di riferimento è CSIRT Italia.
  • Alcuni settori potrebbero avere enti regolatori specifici (es. Ministero della Salute per la sanità, AGCOM per le telecomunicazioni).

Cosa fare dopo la segnalazione?

  1. Collaborare con le autorità per fornire dettagli sull’attacco e le misure adottate.
  2. Rafforzare la sicurezza interna con patch, aggiornamenti e nuove policy di protezione.
  3. Se necessario, informare i clienti e il pubblico se ci sono state violazioni di dati personali (seguendo il GDPR).

4. Dopo la segnalazione: come riprendersi da un attacco?

Dopo aver gestito l’attacco e segnalato l’incidente, la priorità è evitare che si ripeta.

  • Eseguire un’analisi forense per capire come è avvenuto l’attacco.
  • Aggiornare le misure di sicurezza (es. implementare autenticazione a più fattori, segmentazione di rete, aggiornamenti software).
  • Testare il piano di risposta agli incidenti per verificare se può essere migliorato.
  • Se l’attacco ha causato una perdita di dati, attivare i protocolli di backup e disaster recovery.

Le autorità potrebbero richiedere ulteriori verifiche e audit, quindi è fondamentale mantenere una documentazione chiara su tutto il processo.

Conclusione: DORA e NIS2 impongono procedure rigide, ma necessarie

  • Se la tua azienda è soggetta a DORA: Devi notificare entro 4 ore l’autorità di vigilanza finanziaria e fornire un rapporto dettagliato entro 72 ore.
  • Se la tua azienda è soggetta a NIS2: Devi notificare il CSIRT nazionale entro 24 ore e completare un report finale entro 1 mese.
  • In entrambi i casi, è fondamentale avere un piano di risposta agli incidenti IT pronto e testato.

Il consiglio principale? Non aspettare di subire un attacco per prepararti! Testa il tuo piano di emergenza, stabilisci procedure chiare di comunicazione interna ed esterna e assicurati di poter rispondere rapidamente.

 

Potrebbe interessarti anche DORA e NIS 2: differenze, impatti e come adeguarsi senza stress

Torna a tutte le News

TAG PRESENTI NELLA NEWS

Attacco Supply Chain | DORA | Incident report | NIS 2 | resilienza
Share This